Cyberkriminelle nutzen Telegram Messenger zur Steuerung von ToxicEye-Malware

Cyber Security News

Angreifer missbrauchen Telegram zunehmend als “Command-and-Control”-System, um Malware in Unternehmen zu verteilen, die dann dazu verwendet werden könnte, sensible Informationen von den Zielsystemen abzugreifen.

“Selbst wenn Telegram nicht installiert ist oder verwendet wird, ermöglicht das System Hackern, bösartige Befehle und Operationen aus der Ferne über die Instant-Messaging-App zu senden”, so die Forscher des Cybersecurity-Unternehmens Check Point, die in den letzten drei Monaten nicht weniger als 130 Angriffe identifiziert haben, die einen neuen multifunktionalen Remote-Access-Trojaner (RAT) namens “ToxicEye” nutzen.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Die Verwendung von Telegram zur Erleichterung bösartiger Aktivitäten ist nicht neu. Im September 2019 wurde ein Informationsdieb mit dem Namen Masad Stealer entdeckt, der Informationen und Kryptowährungs-Wallet-Daten von infizierten Computern plünderte, indem er Telegram als Exfiltrationskanal nutzte. Letztes Jahr nutzten Magecart-Gruppen die gleiche Taktik, um gestohlene Zahlungsdaten von kompromittierten Websites zurück an die Angreifer zu senden.

Die Strategie zahlt sich auch in mehrfacher Hinsicht aus. Zunächst einmal wird Telegram nicht nur nicht von Antivirenprogrammen für Unternehmen blockiert, die Messaging-App ermöglicht es Angreifern auch, anonym zu bleiben, da für den Registrierungsprozess nur eine Handynummer erforderlich ist, wodurch sie von praktisch jedem Ort der Welt aus Zugriff auf infizierte Geräte erhalten.

[Blocked Image: https://thehackernews.com/images/-_viYEyZHBDA/YIE405TseOI/AAAAAAAACVw/CpLt5kEAxZgLT2KH8LhB650x6pBJHqcDACLcBGAsYHQ/s0/telegram.jpg]

Die neueste Kampagne, die von Check Point entdeckt wurde, ist nicht anders. ToxicEye verbreitet sich über Phishing-E-Mails, die in eine bösartige ausführbare Windows-Datei eingebettet sind, und nutzt Telegram, um mit dem Command-and-Control-Server (C2) zu kommunizieren und Daten auf ihn hochzuladen. Die Malware verfügt außerdem über eine Reihe von Exploits, die es ihr ermöglichen, Daten zu stehlen, Dateien zu übertragen und zu löschen, Prozesse zu beenden, einen Keylogger einzusetzen, das Mikrofon und die Kamera des Computers zu kapern, um Audio- und Videoaufnahmen zu machen, und sogar Dateien gegen ein Lösegeld zu verschlüsseln.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Konkret beginnt die Angriffskette mit der Erstellung eines Telegram-Bots durch den Angreifer, der dann in die Konfigurationsdatei des RAT eingebettet wird, bevor er sie zu einer ausführbaren Datei kompiliert (z. B. “paypal checker by saint.exe”). Diese .EXE-Datei wird dann in ein gefälschtes Word-Dokument (“solution.doc”) injiziert, das, wenn es geöffnet wird, den Telegram-RAT herunterlädt und ausführt (“C:UsersToxicEyerat.exe”).

“Wir haben einen zunehmenden Trend entdeckt, bei dem Malware-Autoren die Telegram-Plattform als Out-of-the-Box-Befehls- und Kontrollsystem für die Malware-Verteilung in Unternehmen nutzen”, sagt Idan Sharabi, Manager der Check Point R&D Group. “Wir glauben, dass Angreifer die Tatsache ausnutzen, dass Telegram in fast allen Organisationen genutzt wird und erlaubt ist, und dieses System nutzen, um Cyber-Attacken auszuführen, mit denen Sicherheitseinschränkungen umgangen werden können.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com